Un database di Indicatori di Attacco (IoAs) recentemente aggiunto, gestito e alimentato dagli esperti di Kaspersky, fornisce un contesto aggiuntivo, durante le indagini, su quelle che sono le attività dei criminali informatici. Inoltre, adesso gli IoA vengono mappati nella knowledge base di MITRE ATT&CK per un’analisi aggiuntiva di tattiche, tecniche e procedure degli “avversari”. Questi miglioramenti fondamentali aiutano le imprese a indagare più rapidamente su incidenti complessi.
Kaspersky EDR e Kaspersky Anti Targeted Attack includono funzionalità per controllare la presenza di Indicatori di Compromissione (IoCs), come hash, nome file, percorso, indirizzo IP, URL, e altro che mostrano quando un cybercriminale ha colpito. Oltre alla ricerca di IoC, le nuove funzionalità con IoA offrono l’opportunità di identificare le tattiche e le tecniche degli intrusi, indipendentemente dal malware o dal software legittimo utilizzato nell’attacco. Per semplificare il processo di indagine quando si esamina la telemetria da più endpoint, gli eventi sono correlati con un set unico di IoA di Kaspersky. Gli IoA abbinati vengono visualizzati nell’interfaccia utente con descrizioni dettagliate e raccomandazioni sul modo migliore per rispondere all’attacco.
I clienti possono produrre il proprio set di IoA sulla base della loro esperienza, della conoscenza delle minacce più significative e del loro specifico ambiente IT. Tutti i nuovi eventi vengono automaticamente mappati in tempo reale con il database interno di IoA personalizzati, consentendo l’immediata creazione di azioni di risposta informate e scenari di rilevazione a lungo termine, secondo le specificità dell’infrastruttura protetta. Kaspersky EDR, Kaspersky Anti Targeted Attack e MITRE ATT&CK insieme rappresentano una knowledge base di tattiche e tecniche avversarie accessibile a livello globale e basate sull’osservazione del mondo reale che consentono alle aziende di convalidare e investigare gli incidenti in entrata in modo più efficiente. Le minacce scoperte vengono automaticamente mappate sulla knowledge base, contestualizzando in modo immediato i nuovi eventi con dati di intelligence esterna e tecniche di attacco. Avere una comprensione più profonda di un attacco riduce i rischi futuri e aiuta i team di sicurezza a ridurre il tempo necessario per analizzare e rispondere alle minacce. Le funzionalità avanzate sono disponibili anche per le organizzazioni che offrono il monitoraggio e la gestione della sicurezza informatica. La nuova architettura multi-tenancy consente ai Managed Security Services Providers (MSSP) di proteggere l’infrastruttura di più clienti contemporaneamente.
